10代の若者に教えるべき「セキュリティ」とは何か？：AnchorDesk（1/2 ページ）

経産省が主催する「セキュリティキャンプ」は先日無事終了した。参加した10代の学生の発表を見ていて、来年以降も継続開催するのであればもう少し検討した方がいいのではないかという点がいくつか目に付いた。

[佐藤晃洋，ITmedia]

　10代の学生に本格的なセキュリティ知識を学んでもらう機会を提供することを主な目的とした「セキュリティキャンプ 2004」が、経済産業省らの主催で、8月3日〜7日までの5日間都内で開催され、無事終了した。

　このキャンプは、昨年企画されながらも諸事情により開催を断念せざるを得なかった「セキュリティ甲子園」の事実上の代替企画である。期間中には、Linuxを利用してセキュアなサーバを構築する方法や、クラックを受けたサーバからrootkitなどを検出する方法、さらには実際にマシンをウイルスに感染させてその動作原理やロジックを学習するといった実践的な内容を含んだ実習や、個人情報保護法・不正アクセス防止法などに関する講義などが行われ、参加した学生からはおおむね好評を得ていたようだ。

　ただ、最終日に行われた学生たちのグループ討論の発表や、初日に行われた参加者の自己紹介などを聞いていると、このキャンプに足りないものもおぼろげながら見えてきた。そこで本稿では、筆者なりに考えた、セキュリティキャンプに追加して欲しい要素を挙げてみたい。

10代の学生だからこそ基礎固めを

　まず筆者が今回のカリキュラムを見て感じたことは、「実習を中心とした、非常に実践的なカリキュラムが組まれている」という点だ。

　正直に言って今回の内容は、「お金を払うからぜひ参加させてほしい」と考える20代以上の方も少なくないだろうというもの。それだけに参加者は、サーバ管理業務など非常に実践的な部分で役に立つ知識を得られたと思われる。

　ただ筆者としては、カリキュラムをあまりにも実践的な内容に振ってしまったことが、逆に10代の学生にとっては良くない部分を生んでしまっていないだろうか、という点に一抹の不安を覚える。

　たとえば、そもそもネットワークセキュリティという分野において「100％安全」ということは基本的にあり得ない。また、安全度を100％に近づけようとすればするほど、それは必ずコスト（ここでは必ずしも金銭的なものに限らず、人的労力なども含めた意味）に跳ね返ってくる。そのため、セキュリティを考える場合はまず「当該システムにおいて扱う情報の重要性の順位付け」を意識した上で、重要度の高い情報がどこから漏れやすいかを把握し、そしてその重要性と防御のためのコストとのバランスを考えながら実際のシステムを構築していく必要がある。

　しかし、最終日の学生達の発表を聞いていると、どうもそういった基本的な概念をきちんと理解していないのではないかという疑いを抱かずにはいられなかった。

　たとえば「個人情報とWebアプリ」というテーマの発表では、個人情報を扱うWebサイトでSSLがあまり利用されていないなど、通信経路上での暗号化が不十分という点に気を取られていた。そのため、サーバ内に格納された情報がまとめて流出してしまうといった、より危険性の高いケースに対する防御策の検討が抜けてしまった、という具合である。

　またセキュリティを守るという意味では、システムの構築もさることながら、日々公になる脆弱性情報への対応をはじめ、でき上がったシステムをいかに適切に運用していくかといった点が重要になる。だが、今回学生が行った発表の多くは構築面にばかり気をとられており、運用面が考慮されていなかったように見えた。

　今回最優秀賞を取った「学生による学校ネットワークの利用の手引き」というテーマの発表も例外ではない。たとえば、Webコンテンツのフィルタリングについては、「フィルタリングそのものはやむを得ないが、フィルタに使用するURLリストは生徒自身が管理する」という案が提示されていた。だが、膨大に存在し、しかも日々激しく変化するURLに対する適切なフィルタリストを、果たして本当に学生だけで管理できるのかといった点は考慮されていなかった。